Elektronische Signaturen in Laborsystemen - reichen die rechtlichen Anforderungen aus?

Geschrieben von Piotr Kuchta

elektronische-signaturen

In einer Branche, die stark auf präzise Dokumentation, strikte Einhaltung und strenge behördliche Aufsicht angewiesen ist, war die Einführung elektronischer Signaturen ein gewaltiger Fortschritt. Traditionell war die Unterzeichnung regulierter Dokumente ein mühsamer manueller Prozess, der physische Anwesenheit, handschriftliche Unterschriften und umfangreiche Papierdokumente erforderte. Diese Methode war nicht nur zeitaufwändig, sondern auch anfällig für Fehler, Verzögerungen und erhebliche logistische Herausforderungen, was die Fähigkeit der Branche beeinträchtigte, mit den sich schnell entwickelnden Marktanforderungen Schritt zu halten.

Auch wenn elektronische Signaturen im weiteren Sinne nicht mehr unbedingt revolutionär sind, haben sie doch immer mehr Anerkennung als transformatives Werkzeug im Pharmasektor erlangt und bieten optimierte Prozesse, verbesserte Effizienz und verbesserte Compliance. Darüber hinaus spielen elektronische Signaturen eine entscheidende Rolle bei der Aufrechterhaltung der Sicherheit und Integrität elektronischer Aufzeichnungen. Sie tragen dazu bei, unbefugte Genehmigungen, Manipulation oder Fälschung von Daten zu verhindern, das Risiko von Datenschutzverletzungen zu verringern und die Genauigkeit und Zuverlässigkeit der Informationen sicherzustellen.

Elektronische Signaturen sind zu einem entscheidenden Bestandteil in der Pharmaindustrie geworden und stehen im Einklang mit regulatorischen Richtlinien wie 21 CFR Part 11 in den Vereinigten Staaten, dem EU GMP Annex 11 in der Europäischen Union und dem MHRA „'GXP' Data Integrity Guidance and Definitions in dem Vereinigten Königreich. Diese gesetzlichen Rahmen betonen die Bedeutung der Datenintegrität, -sicherheit und -konformität bei der elektronischen Aufzeichnung.

Der bereits vor 25 Jahren veröffentlichte 21 CFR Part 11, der von der US-amerikanischen Food and Drug Administration (FDA) durchgesetzt wird, enthält Richtlinien für die Verwendung elektronischer Aufzeichnungen und Signaturen in der Pharma- und Biotech-Industrie. Es legt Anforderungen für elektronische Aufzeichnungen und elektronische Signaturen fest, die auf elektronischen Dokumenten ausgeführt werden.

Part 11 of Title 21 of the Code of Federal Regulations; Electronic Records; Electronic Signatures war ein großer Meilenstein und stellte viele Anforderungen dar, aber um einige der wichtigsten aufzulisten, heißt es in „Unterabschnitt C – Elektronische Signaturen“:

  • Jede elektronische Signatur muss für eine Person einzigartig sein und darf nicht von jemand anderem wiederverwendet oder einer anderen Person zugewiesen werden.
  • Elektronische Signaturen, die nicht auf Biometrie basieren, müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort verwenden.
  • Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen Kontrollen einsetzen, um ihre Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören:
    • Beibehaltung der Einzigartigkeit jedes kombinierten Identifikationscodes und Passworts, sodass keine zwei Personen dieselbe Kombination aus Identifikationscode und Passwort haben.
    • Sicherstellen, dass die Ausstellung von Identifikationscodes und Passwörtern regelmäßig überprüft, zurückgerufen oder überarbeitet wird (z. B. um Ereignisse wie die Alterung von Passwörtern abzudecken).
    • Verwendung von Transaktionsschutzmaßnahmen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und alle Versuche ihrer unbefugten Verwendung sofort und dringend zu erkennen und der Systemsicherheitseinheit und gegebenenfalls der Organisationsleitung zu melden.

Ebenso dient der EU GMP Annex 11: Computerized Systems als Leitfaden für gute Herstellungspraktiken in der Europäischen Union. Es betont die Bedeutung der Wahrung der Integrität und Vertraulichkeit elektronischer Aufzeichnungen, einschließlich der Verwendung elektronischer Signaturen. Im Anhang werden Kontrollen wie Zugriffsverwaltung, Datenschutz, Prüfpfad und Signaturprüfung hervorgehoben, um die Gültigkeit und Rückverfolgbarkeit elektronischer Aufzeichnungen sicherzustellen. In diesem Fall ist die Anzahl der Anforderungen an elektronische Signaturen recht gering. Dennoch ist zu erwähnen, dass Annex 11 das erste Gesetz war, das die strenge Anforderung festlegte, dass die Chargenfreigabe durch eine elektronische Signatur erfolgen muss. Kapitel „14. „Elektronische Signatur“ besteht aus folgenden Punkten:

Elektronische Aufzeichnungen können elektronisch signiert werden. Von elektronischen Signaturen wird erwartet, dass sie:

  • innerhalb der Unternehmensgrenzen die gleiche Wirkung haben wie handschriftliche Unterschriften,
  • dauerhaft mit ihrem jeweiligen Datensatz verknüpft sind,
  • die Uhrzeit und das Datum der Anwendung angeben.

Etwa in den Jahren 2015 und 2016 tauchten verschiedene Richtlinien zur Datenintegrität auf. Eine davon waren die 'GXP' Data Integrity Guidance and Definitions, die von der Medicines and Healthcare Products Regulatory Agency (MHRA) herausgegeben wurden. Die endgültige Version aus dem Jahr 2018 bietet zusätzliche Leitlinien zur Aufrechterhaltung der Datenintegrität in verschiedenen „GXP“-regulierten Bereichen, darunter Good Laboratory Practice (GLP), Good Clinical Practice (GCP) und Good Manufacturing Practice (GMP). In den Leitlinien wird betont, wie wichtig es ist, geeignete Kontrollen wie elektronische Signaturen zu implementieren, um die Integrität, Genauigkeit und Vollständigkeit der Daten während ihres gesamten Lebenszyklus sicherzustellen. Kapitel „6.14. „Elektronische Signaturen“ besagt Folgendes:

Die Verwendung elektronischer Signaturen sollte angemessen kontrolliert werden, wobei Folgendes zu berücksichtigen ist:

  • Wie die Unterschrift einer Person zuzuordnen ist.
  • Wie der Vorgang des „Signierens“ im System aufgezeichnet wird, sodass er nicht geändert oder manipuliert werden kann, ohne dass die Signatur oder der Status des Eintrags ungültig werden.
  • Wie das Protokoll der Unterschrift mit der vorgenommenen Eintragung verknüpft wird und wie dies überprüft werden kann.
  • Die Sicherheit der elektronischen Signatur, d. h. dass sie nur vom „Inhaber“ dieser Signatur angewendet werden kann.

Elektronische Signatur- oder E-Signatur-Systeme müssen "Signaturmanifestationen" vorsehen, d. h. eine Anzeige innerhalb des sichtbaren Datensatzes, die angibt, wer unterschrieben hat, seinen Titel, das Datum (und die Uhrzeit, falls wichtig) und die Bedeutung der Signatur (z. B. geprüft oder genehmigt).

In der letzten Notiz wurde ausdrücklich klargestellt, wie elektronische Signaturen in den Systemen der Pharmaindustrie aussehen sollten. Einige Systeme verfügten bereits über eine solche Funktionalität, der Rest musste sich erst anpassen, und es wurden zahlreiche neue Richtlinien zur Datenintegrität veröffentlicht.

Aber ist das wirklich alles, was Systeme berücksichtigen sollten? Gibt es zusätzliche Vorsichtsmaßnahmen, die computergestützte Systeme durchsetzen könnten?

Nicht wenige Systeme haben erweiterte Signaturrichtlinien eingeführt, die die Datenintegrität ohne großen Aufwand für die Benutzer erhöhen können.

Eines davon ist METTLER TOLEDO LabX™ V13, das die Signaturrichtlinien noch einen Schritt weiter bringt.

Viele Jahre lang ermöglichte das System die Durchführung elektronischer Signaturen auf zwei Arten:

  • Überprüfen – eine Unterschrift ist erforderlich, um die Signaturrichtlinien zu erfüllen.
  • Überprüfen-Genehmigen – Zur Erfüllung der Signaturrichtlinien sind zwei Unterschriften erforderlich.

Die vor kurzem eingeführte Funktionalität ist die sogenannte „Richtlinie für beteiligte Benutzer“, die für Ergebnissätze und Berichte gilt, die aus Ergebnissätzen generiert werden.

Es kann auf folgende Arten konfiguriert werden:

  • Keine Einschränkungen: Es wird keine Richtlinie angewendet.
  • Nur beteiligte Benutzer: Das System stellt sicher, dass einer der beteiligten Benutzer eines Ergebnissatzes das spezifische Objekt überprüft oder genehmigt.
  • Nur nicht beteiligte Benutzer: Das System verhindert, dass beteiligte Benutzer eines Ergebnissatzes das spezifische Objekt überprüfen oder genehmigen.

Zur Klarstellung: Ein beteiligter Benutzer ist jeder Benutzer, der an der Aufgabenausführung beteiligt ist und Ergebnisse im Zusammenhang mit einem bestimmten Ergebnissatz generiert oder bearbeitet.

Wenn Sie eine solche Richtlinie bereits implementiert haben, jedoch nur auf Verfahrensebene, haben Sie jetzt die Möglichkeit, bei Audits beruhigt zu sein.

Mit LabX™ V13 müssen Sie sich nicht mehr ausschließlich auf die in Ihren Standardarbeitsanweisungen beschriebenen Einschränkungen verlassen. Sie können es im System nutzen und die Personen, die die elektronischen Aufzeichnungen überprüfen, können sich auf andere Aufgaben konzentrieren, anstatt die Daten und elektronischen Signaturen noch einmal zu überprüfen.
Wenn Sie nicht über eine solche Richtlinie verfügen, sich aber Gedanken über deren Implementierung machen, sollte dies mit Hilfe von LabX™ V13 eine einfache Aufgabe sein.